チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「社内のIT管理ツールが攻撃経路になるって本当に怖い。ManageEngineって大丈夫?」
「SSOって便利だけど、それ自体が乗っ取りの穴になるってどういうこと?」
チップスボスー!ManageEngineにパスワードなしで他人のアカウントに入れる脆弱性があるって聞いたんでしゅけど、本当でしゅか?
ボス本当だ。CVE-2026-11374は、ManageEngineのSSO認証チケットの生成ロジックが予測可能だという欠陥だ。ネットワーク越しに認証なしで攻撃でき、管理者アカウントまで乗っ取れる。CVSS9.0という深刻度は伊達じゃないぞ。
Zoho提供のIT管理プラットフォーム「ManageEngine」の4製品にCVSS9.0の認証回避脆弱性CVE-2026-11374が発見されました。
攻撃者がSSOチケットを推測するだけで、パスワードなしに任意ユーザーのアカウントへアクセスできます。
修正済みバージョンは提供済みですが、未適用の環境では即時パッチ適用が必要です。
ManageEngineはActiveDirectory管理・パスワードリセット・監査ログなど企業ITの中枢を担うツールです。
過去にはAPT(高度持続型脅威)グループの標的にもなっており、今回の脆弱性は放置するリスクが非常に高いといえます。
オススメ案件
【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行
【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM
【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート相談可)/Entra ID・セキュリティ改善
CVE-2026-11374はManageEngine AD360と統合して使用する場合に発生する脆弱性です。
SSO(シングルサインオン)でサインインした際に発行される認証チケットが予測可能な形式で生成されており、第三者がそのチケットを計算・推測できてしまいます。
結果として、対象ユーザーのIDとロール情報を取得し、そのアカウントを完全に乗っ取ることが可能です。
修正が必要なバージョンは以下の通りです。
| 製品名 | 影響バージョン | 修正バージョン |
|---|---|---|
| ADSelfService Plus | 6528以下 | 6529 |
| RecoveryManager Plus | 6320以下 | 6321 |
| M365 Manager Plus | 4816以下 | 4817 |
| ADAudit Plus | 8702以下 | 8703 |
これらの製品はいずれもActiveDirectory管理や監査の核となるもので、管理者アカウントが乗っ取られた場合の被害は甚大です。
チップスSSOって便利だから導入してるのに、それが穴になるって本末転倒でしゅよね!
ボス便利さとリスクは表裏一体だ。SSO自体が悪いわけではなく、チケット生成の実装が甘かっただけだ。修正版はチケットの生成ロジックを強化してある。問題は「自分が使っているバージョンを把握していない」管理者が多いことだな。
SSOチケットは「この人は誰で、どの権限を持つか」をシステム間で伝えるための証明書です。
正常な実装では、このチケットは十分にランダムで予測不可能である必要があります。
しかしCVE-2026-11374では、チケット生成に使われる値が推測可能だったため、攻撃者が計算によって有効なチケットを偽造できました。
攻撃の流れをまとめます。
特に危険なのは管理者権限を持つアカウントです。
ManageEngineはActiveDirectory全体を管理するツールのため、管理者アカウントが奪われればドメイン全体の制御を失います。
また、ManageEngine ADSelfService PlusはCISAが2021年に「APTグループに積極的に悪用された」と警告した実績があります。
攻撃者にとって価値の高い標的であることは過去の事案からも明らかです。
チップス早速バージョン確認してみるんでしゅけど、アップデート以外にやれることってあるんでしゅか?
ボスまずバージョンアップが最優先だ。それ以外では、ManageEngine製品へのネットワークアクセスをVPNや信頼済みIPに制限する。管理者アカウントの最近のアクセスログを確認し、不審なログインがないか確認する。この2つを同時にやれ。
CVE-2026-11374はSSOチケットの予測可能性を突いた、認証回避の深刻な脆弱性です。
CVSS9.0、ネットワーク越しに認証不要で悪用可能という条件は、攻撃者にとって非常に扱いやすい脆弱性です。
過去にAPTグループに狙われた経緯もあり、ManageEngine製品は常に攻撃者の注目を集めています。
修正バージョンへの更新を最速で済ませ、アクセスログで異常を確認しておきましょう。
オススメ案件
【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行
【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM
【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート相談可)/Entra ID・セキュリティ改善
